Корпорация Cisco подтвердила и устранила критическую уязвимость в программном обеспечении для автоматизации работы операторов контакт-центров. Ошибка, получившая идентификаторы CVE-2025-20358 и BDU:2025-14816, затрагивает Cisco Unified Contact Center Express (Unified CCX) Editor и связана с отсутствием аутентификации для критически важной функции. Это позволяет удаленному злоумышленнику обойти механизмы безопасности и значительно повысить свои привилегии в системе. Уязвимость была обнаружена 5 ноября 2025 года и уже закрыта производителем.
Детали уязвимости
Под угрозой находятся версии редактора Cisco Unified CCX до 12.5 SU3 ES07, а также релизы с 15.0 по 15.0 ES01. Данное прикладное программное обеспечение используется для настройки и управления сценариями работы контакт-центра. С технической точки зрения, уязвимость классифицируется как архитектурная и относится к распространенному типу CWE-306, то есть «Отсутствие аутентификации для критичной функции». Как следствие, атака не требует от нарушителя предварительной аутентификации в системе.
Оценка по методике CVSS 3.1 присваивает уязвимости высокий базовый балл 9.4, что соответствует критическому уровню опасности. Вектор оценки CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L. Это означает, что для эксплуатации уязвимости не требуется никаких специальных условий, атака может быть проведена удаленно через сеть без взаимодействия с пользователем и с полным воздействием на конфиденциальность и целостность данных. Устаревшая оценка по CVSS 2.0 также указывает на высокую опасность с баллом 9.7.
Основным способом эксплуатации является нарушение аутентификации. Успешная атака предоставляет злоумышленнику возможность выполнять несанкционированные действия с высокими привилегиями. В контексте контакт-центра это может привести к перехвату звонков, краже персональных данных клиентов, модификации логики обработки вызовов или использованию системы в качестве плацдарма для дальнейшего продвижения в корпоративную сеть. Хотя наличие готового эксплойта (программы для использования уязвимости) на момент публикации бюллетеня уточняется, сама техническая возможность делает систему привлекательной мишенью для киберпреступников.
Cisco Systems оперативно отреагировала на обнаруженную проблему. Единственным эффективным способом устранения уязвимости является обновление программного обеспечения до защищенных версий. Производитель отмечает, что уязвимость уже устранена. Актуальные рекомендации и детали по патчам опубликованы в официальном бюллетене безопасности компании. Администраторам настоятельно рекомендуется незамедлительно обратиться к этому документу и применить обновления.
Инцидент с Cisco Unified CCX Editor в очередной раз подчеркивает важность своевременного управления обновлениями и патчами для специализированного бизнес-ПО. Контакт-центры часто обрабатывают конфиденциальную информацию, что делает их целями для атак, направленных на кражу данных или вымогательство. Регулярный аудит систем на наличие подобных уязвимостей, не требующих аутентификации, должен быть неотъемлемой частью стратегии безопасности любой организации, использующей подобные решения.
Ссылки
- https://bdu.fstec.ru/vul/2025-14816
- https://www.cve.org/CVERecord?id=CVE-2025-20358
- https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cc-unauth-rce-QeN8h7mQ
